Er du dataansvarlig eller databehandler?

Først og fremmest er det vigtigt at vide, om man er dataansvarlig. Kort fortalt er din virksomhed dataansvarlig for alle personoplysninger som I anvender til specifikke formål, som I selv har defineret.

”Som udgangspunkt vil alle virksomheder være dataansvarlige, da de ligger inde med både persondata på medarbejderne som f.eks. ansættelseskontrakter og lønudbetaling samt kundedata som f.eks. personlige e-mailadresser og betalingsinformationer,” udtaler Søren Wolder, Advokat (L) LL.M./Partner hos DAHL Advokatpartnerselskab, der bl.a. rådgiver om den kommende persondataforordning.

I følge persondataloven er det den dataansvarlige, der afgør, til hvilke formål data skal behandles (f.eks. for at kunne udbetale løn til medarbejderne hver måned gennem lønsystemet).

Sådan bliver du databehandler

Din virksomhed kan også være databehandler. Det bliver man, hvis man behandler personoplysninger på vegne af en anden virksomhed, der er dataansvarlig.

Hvis din virksomhed f.eks. håndterer lønudbetalingerne på vegne af en anden virksomhed – og dermed behandler personoplysninger for den anden virksomhed, vil din virksomhed blive databehandler. Når der anvendes en databehandler, skal der ifølge loven udarbejdes en skriftlig databehandleraftale mellem de to virksomheder.

It-driftsoperatører, der håndterer eksempelvis e-mails, økonomi, HR, dokumenter, CRM eller betalingsmodeller, er også klassiske eksempler på databehandlere. Benytter man en ekstern it-driftsoperatør, skal man derfor også have databehandleraftaler på plads. Ellers overholder man ikke loven.

En databehandler må kun behandle personoplysninger på vegne af den dataansvarlige, og skal følge de instrukser, som den dataansvarlige giver.

Databehandleren må altså ikke selv bestemme, hvordan data behandles, med hvilke hjælpemidler eller til hvilket formål. I praksis indgås databehandleraftaler ofte på databehandlerens standardaftale, men dette ændrer ikke på, at det er den dataansvarlige, der råder over behandlingen.

Både dataansvarlig og databehandler?

I langt de fleste situationer, vil det være klart, om man er dataansvarlig eller databehandler.

”En god tommelfingerregel er, at hvis man opbevarer eller behandler personoplysninger for at løse en opgave for andre, så er man nok databehandler,” fortæller Søren Wolder.

Men der kan dog være situationer, hvor man ender med at være begge ting på en gang. Hvis virksomhed A f.eks. beder virksomhed B om at opbevare sundhedsdata (f.eks. vedr. patienters symptomer), og virksomhed B ud over at opbevare data, også anvender data til eget defineret formål (f.eks. at forudsige risikoen for en bestemt sygdom for disse patienter), så vil virksomhed B optræde som både databehandler og dataansvarlig.

For en del it-virksomheder vil man for nogle typer personoplysninger både være dataansvarlig (f.eks. ens egne personaledata), databehandler (f.eks. hvis man hoster andre virksomheders data). Det er derfor vigtigt, at man identificerer alle persondata og forholder sig til, hvilken rolle man indtager for hvert enkelt datasæt.

Husk databehandleraftalen

Databeskyttelsesforordningen har nogle minimumskrav til, hvad der skal være reguleret i en databehandleraftale. Er du medlem af IT-Branchen, kan du med fordel tage udgangspunkt i vores standard databehandleraftale, der også findes på engelsk.

Ud over at opfylde minimumskravene, bør aftalen også regulere de mere praktiske forhold vedr. behandling af data ligesom man også bør kigge på de kommercielle og økonomiske forhold – f.eks. databehandlerens mulighed for at opkræve betaling for de ydelser, der præsteres som led i opfyldelsen af databehandleraftalen.

En sund tilgangsvinkel hertil kan være, at for de aktiviteter man som databehandler alligevel ville skulle gøre, udløser aktiviteten ikke særskilt betaling. Omvendt så bør alle specifikke handlinger, som er relateret til databehandlerforholdet med den dataansvarlige udløse et krav på vederlag.

Her kan du læse mere om, hvad du konkret skal overholde af krav i Persondataforordningen.

Du kan også læse Datatilsynets Vejledning om dataansvarlige og databehandlere.

Har din virksomhed behov for yderligere rådgivning vedr. persondataforordningen, kan man altid kontakte advokat Søren Wolder fra DAHL Advokatpartnerselskab, swk@dahllaw.dk, 30 84 35 12.

Hver del af kæden har nogle juridiske muligheder og krav, som man skal være bevidst om:

PersonKan bede om at få flyttet sine persondata (dataportabilitet). F.eks. kan en kunde hos en optiker bede om at få flyttet alle data om personens syn til en konkurrerende optiker   Personen skal have mulighed for at få rettet/slettet deres data (Right-to-be-forgotten)
Skal kunne dokumentere, at samtykket er givet efter reglerne – f.eks. gennem en samtykkeerklæring   Det skal tydeligt fremgå, hvad de indsamlede data skal bruges til (Oplysningsforpligtelse)
DataansvarligSkal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger   Dataansvarlig skal vide om data er placeriet fysisk i DK, i EU eller udenfor EU   Ved databrud skal Datatilsynet informeres indenfor 72 timer – og de berørte personer uden unødigt ophold   Udpege en DPO, hvis det er påkrævet
Bør tage udgangspunkt i en godkendt standard databehandleraftale   Bør regulere praktiske såvel som kommercielle og økonomiske forhold
DatabehandlerHar ingen forpligtelser i forhold til de registrerede, men udelukkende overfor dataansvarlig   Skal udarbejde reporter over behandlingsaktiviteterne   Skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger   Skal overholde reglerne for overførsel af data til lande uden for EU   Ved databrud skal den dataansvarlige informeres uden unødigt ophold   Udpege en DPO, hvis det er påkrævet